網(wǎng)絡(luò)攻擊逃逸技術(shù)的發(fā)展令新威脅十分難以偵測到。

最近的Duqu 2.0惡意軟件就是主要例子，該惡意軟件曾被用于入侵伊朗核問題六方會談、卡巴斯基實驗室和和某工控/數(shù)據(jù)采集與監(jiān)控硬件廠商。為跟上惡意軟件的發(fā)展，一種采用異于傳統(tǒng)“入侵證據(jù)”方法的新型安全模型被提了出來。

[[149456]]

此下一代終端保護(NGEPP)模型建立在6個核心支柱之上，若綜合使用，能在攻擊生命周期的每一個階段偵測到攻擊行為，哪怕是最高級攻擊的方法。

01.預(yù)防

NGEPP必須利用久經(jīng)考驗的技術(shù)阻止已知威脅。先發(fā)制人的保護層可以在已知威脅在終端執(zhí)行前就封殺它們。與以往只依賴于一家廠商的威脅情報的情況不同，如今已可以通過云服務(wù)聯(lián)合超過40家信譽良好的服務(wù)來主動封鎖威脅。這一方式還利用輕量級方法索引文件進(jìn)行被動式掃描或選擇性掃描，取代極為占用資源的系統(tǒng)掃描。

02.動態(tài)漏洞利用檢測

用漏洞利用代碼攻破代碼級漏洞是攻擊者入侵系統(tǒng)并執(zhí)行惡意程序的高級技術(shù)。偷渡式下載是實施漏洞利用攻擊的常用手段。NGEPP應(yīng)提供反漏洞利用功能以防護基于應(yīng)用程序和內(nèi)存的攻擊。這一功能應(yīng)通過檢測漏洞利用攻擊所用的真實技術(shù)來實現(xiàn)——如：堆噴射、棧扭轉(zhuǎn)(stack pivot)、面向返回編程(ROP)攻擊和內(nèi)存權(quán)限修改——而非依賴于像溢出代碼掃描這樣的靜態(tài)方法。由于漏洞利用技術(shù)自身不像惡意軟件所用的溢出代碼、加密器、釋放器和載荷組件那么容易改變，檢測技術(shù)的方法會可靠得多。

03.動態(tài)惡意軟件檢測

檢測和封鎖零日漏洞攻擊及針對性攻擊是NGEPP的一個核心要求。這涉及到基于操作系統(tǒng)底層活動和操作對應(yīng)用程序和進(jìn)程行為的實時監(jiān)視和分析，包括內(nèi)存、磁盤、注冊表、網(wǎng)絡(luò)等等。因為很多攻擊掛鉤到系統(tǒng)進(jìn)程和良性應(yīng)用程序里來掩蓋他們的活動，能夠檢查到其執(zhí)行并匯集出其真實運行環(huán)境就成為了關(guān)鍵。為使設(shè)備免遭各種各樣的攻擊侵害，這一檢測功能在設(shè)備上執(zhí)行最為有效。比如說，即使一臺終端未接入網(wǎng)絡(luò)，也可以使它免遭記憶棒攻擊的毒手。

盡管很多廠商目前可以提供終端可見性，這是一個巨大的進(jìn)步，但還是不能檢測沒有任何靜態(tài)入侵指征的零日攻擊。在處理真正的零日威脅時，是需要不依賴具體指征先備知識檢測攻擊的動態(tài)行為分析的。

04.損失減輕

威脅檢測是必要的，但還不足夠。減輕損失的能力必須成為NGEPP的一個必不可少的部分。損失減輕功能應(yīng)該基于策略并足夠靈活，可以覆蓋范圍廣泛的用例，諸如隔離文件、殺死特定進(jìn)程、斷開受感染主機與網(wǎng)絡(luò)的連接，或者甚至完全關(guān)停它。另外，損失減輕應(yīng)該是自動化和及時的。在惡意軟件生命周期的初始階段快速減輕損失將最小化損害并快速修復(fù)。

05.修復(fù)

惡意軟件執(zhí)行期間通常會創(chuàng)建、修改或刪除系統(tǒng)文件和注冊表設(shè)置，還會改變配置信息。這些殘留的修改會導(dǎo)致系統(tǒng)故障或不穩(wěn)定。NGEPP必須能將終端恢復(fù)到被惡意軟件修改之前的可信狀態(tài)，并且記錄有哪些東西被修改了，又有哪些東西被成功修復(fù)了。

06.取證

鑒于沒有任何一種安全技術(shù)可以保證100%有效，提供終端實時取證和可見性就成為了NGEPP必須具備的能力。對整個組織中終端上發(fā)生的惡意行為清晰及時的可見性是快速評估攻擊范圍并采取適當(dāng)響應(yīng)的關(guān)鍵。這就要求能夠?qū)糁薪K端上發(fā)生的事情提供清楚的實時的審計跟蹤，以及能夠在所有終端上搜索入侵指征。

為達(dá)到完全替代現(xiàn)有傳統(tǒng)靜態(tài)終端防護技術(shù)保護能力的目的，NGEPP要能夠自行保護終端不受傳統(tǒng)和高級威脅在惡意軟件生命周期任何階段的危害。上面描述的六大支柱能提供終端已成為新安全邊界的云世代所要求的360度無死角防護。

原文地址http://www.aqniu.com/neo-points/10202.html